top of page
Szukaj

Zrozumieć "5G Toolbox": Kluczowe regulacje dla cyberbezpieczeństwa sieci nowej generacji w Polsce

  • Zdjęcie autora: Kuba Lipinski
    Kuba Lipinski
  • 13 paź
  • 4 minut(y) czytania

Zaktualizowano: 23 paź

W dobie cyfrowej transformacji, wdrożenie technologii 5G otwiera przed Polską drzwi do innowacyjnej przyszłości – od inteligentnych miast po rewolucję w przemyśle. Jednak wraz z ogromnymi możliwościami pojawiają się nowe, znaczące wyzwania w obszarze cyberbezpieczeństwa. Unia Europejska, w odpowiedzi na te zagrożenia, opracowała zestaw narzędzi znany jako "5G Toolbox". W niniejszym artykule, jako Twój zaufany partner w dziedzinie cyberbezpieczeństwa, przybliżę, czym jest ta inicjatywa, jakie ma znaczenie dla polskich firm i w jaki sposób została zintegrowana z krajowymi ramami prawnymi, w tym z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażającą dyrektywę NIS2.


Czym jest "5G Toolbox"?


"5G Toolbox" to zbiór strategicznych i technicznych środków, uzgodnionych przez państwa członkowskie Unii Europejskiej, które mają na celu wzmocnienie bezpieczeństwa sieci 5G. Dokument ten, opublikowany w styczniu 2020 roku, jest owocem współpracy agencji ds. cyberbezpieczeństwa, w tym ENISA, i stanowi odpowiedź na zidentyfikowane ryzyka związane z infrastrukturą nowej generacji.

Główne cele "5G Toolbox" to:

  • Wzmocnienie wymogów bezpieczeństwa dla operatorów sieci komórkowych.

  • Ocena profili ryzyka dostawców sprzętu i oprogramowania, co pozwala na wprowadzenie ograniczeń dla tych uznanych za "dostawców wysokiego ryzyka".

  • Zapewnienie dywersyfikacji dostawców, aby uniknąć uzależnienia od jednego podmiotu, co mogłoby stanowić zagrożenie dla bezpieczeństwa narodowego.

  • Stworzenie spójnej strategii certyfikacji i standaryzacji w całej Unii Europejskiej.


"5G Toolbox" a nowelizacja polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa


Polska, w odróżnieniu od wielu innych krajów członkowskich, zdecydowała się na zintegrowanie zaleceń "5G Toolbox" bezpośrednio z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, która jednocześnie implementuje dyrektywę NIS2. Takie kompleksowe podejście ma na celu stworzenie spójnego i solidnego systemu ochrony przed cyberzagrożeniami.

Projekt ustawy z dnia 7 października 2025 r. wprowadza kluczowe mechanizmy wynikające z "5G Toolbox", a w szczególności instytucję "dostawcy wysokiego ryzyka".


Dostawca wysokiego ryzyka w świetle projektu ustawy


Nowelizacja w artykule 67b wprowadza procedurę, na mocy której minister właściwy do spraw informatyzacji, po zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa, może uznać danego dostawcę sprzętu lub oprogramowania za podmiot wysokiego ryzyka. Decyzja ta może być podjęta w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.

Kryteria oceny dostawcy są szerokie i obejmują między innymi:

  • Zagrożenia o charakterze ekonomicznym, wywiadowczym i terrorystycznym.

  • Prawdopodobieństwo, że dostawca znajduje się pod kontrolą państwa spoza Unii Europejskiej lub NATO, z uwzględnieniem lokalnego prawa, struktury własnościowej i zdolności ingerencji obcego państwa w działalność dostawcy.

  • Liczbę i rodzaj wykrytych podatności w produktach i usługach danego dostawcy oraz szybkość ich eliminowania.

  • Nadzór dostawcy nad procesem wytwarzania i dostarczania sprzętu i oprogramowania.


Konsekwencje dla firm


Uznanie dostawcy za podmiot wysokiego ryzyka niesie za sobą poważne konsekwencje dla podmiotów kluczowych, ważnych, a także dla przedsiębiorców telekomunikacyjnych. Zgodnie z projektowanym artykułem 67c:

  • Zakazane będzie wprowadzanie do użytkowania nowych produktów i usług pochodzących od dostawcy wysokiego ryzyka w zakresie objętym decyzją.

  • Wprowadzony zostanie obowiązek wycofania z użytkowania już istniejącego sprzętu i oprogramowania. Termin na wycofanie określono na 7 lat od dnia ogłoszenia decyzji, a w przypadku przedsiębiorców telekomunikacyjnych i sprzętu wykorzystywanego do realizacji funkcji krytycznych – na 4 lata.

Warto zwrócić uwagę na Załącznik nr 3 do ustawy, który precyzuje "Kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług". Obejmuje on kluczowe elementy sieci, takie jak uwierzytelnianie, zarządzanie dostępem, przechowywanie danych kryptograficznych czy ruting ruchu sieciowego. To właśnie te obszary będą podlegały najściślejszej kontroli.


Powiązanie z Dyrektywą NIS2


Integracja "5G Toolbox" z ustawą wdrażającą NIS2 jest logicznym krokiem. Dyrektywa NIS2 znacząco rozszerza zakres podmiotów objętych regulacjami z zakresu cyberbezpieczeństwa i nakłada na nie bardziej rygorystyczne obowiązki w zakresie zarządzania ryzykiem. Jednym z kluczowych aspektów jest bezpieczeństwo łańcucha dostaw.

Nowelizacja ustawy o KSC w artykule 8, opisującym obowiązki podmiotów kluczowych i ważnych, wprost wskazuje na konieczność uwzględnienia w systemie zarządzania bezpieczeństwem informacji "bezpieczeństwa i ciągłości łańcucha dostaw produktów ICT, usług ICT i procesów ICT". Wyniki postępowania w sprawie uznania dostawcy za podmiot wysokiego ryzyka będą miały bezpośrednie przełożenie na ocenę ryzyka w łańcuchu dostaw, którą każdy podmiot kluczowy i ważny będzie musiał przeprowadzać.


Podsumowanie dla CISO i menedżerów


Wprowadzenie regulacji inspirowanych "5G Toolbox" do polskiego porządku prawnego to sygnał, że ustawodawca traktuje bezpieczeństwo infrastruktury cyfrowej priorytetowo. Dla dyrektorów ds. bezpieczeństwa informacji (CISO) i kadry zarządzającej w polskich firmach, zwłaszcza tych działających w sektorach kluczowych i ważnych, oznacza to konieczność:

  1. Dokładnej analizy i inwentaryzacji swojego łańcucha dostaw w zakresie technologii informacyjno-komunikacyjnych.

  2. Monitorowania postępowań w sprawie uznania dostawców za podmioty wysokiego ryzyka, gdyż może to bezpośrednio wpłynąć na plany rozwojowe i konieczność kosztownych zmian w infrastrukturze.

  3. Uwzględnienia ryzyka związanego z dostawcami w ramach systematycznego szacowania ryzyka, wymaganego przez znowelizowaną ustawę o KSC.

  4. Przygotowania się na ewentualność konieczności migracji z technologii dostarczanych przez podmioty, które mogą zostać uznane za dostawców wysokiego ryzyka.

"5G Toolbox" nie jest już tylko zbiorem unijnych zaleceń. W Polsce staje się twardym prawem, które będzie miało realny wpływ na strategie biznesowe i technologiczne wielu przedsiębiorstw. Jako CISO KSC, jesteśmy gotowi wspierać Państwa organizację w nawigacji po tych złożonych regulacjach i budowaniu odpornej na zagrożenia infrastruktury, która będzie fundamentem Państwa sukcesu w erze 5G.balance looks different for everyone. Take the time to discover what works best for you.


Globalizacja 5G Toolbox

Komentarze

bottom of page